汽車智能網聯化近年來一直是汽車行業的主要議題。這些創新建立在車載系統數字化、汽車IT系統向后端延伸以及軟件傳播的基礎上。而隨著越來越多的關于黑客攻擊汽車登上頭條新聞,人們對汽車網絡信息安全的擔憂也成為了現實。UNR155正是監管機構正在增加壓力,以加強汽車行業應對網絡安全的能力。
UN R155認證
什么是UNR155?
如果您從事的汽車工作涉及到歐洲進出口,那么您大概率會聽過“UNECE”。UNECE是the United Nations Economic Commission for Europe的縮寫,有時也簡稱ECE。UNECE管的范圍很廣,它下屬有一個世界車輛法規協調論壇(簡稱 WP.29),專注于汽車領域。2020年6月,WP29發布了3項跟智能網聯汽車息息相關的重要法規:
lR155:Cyber Security,主要針對汽車網絡信息安全
lR156:Software Update,主要針對軟件升級,包括近端刷寫和OTA
lR157:Automated Lane-Keeping Systems (ALKS),主要針對自動車道保持系統
其中R155就是從2022年7月起開始強制參與型式認證的一條Cyber Security法規,簡稱UNR155,也是本文重點探討的部分。
那什么是型式認證?
汽車產品型式認證是指通過官方確認和批準證明車輛產品能夠達到法律法規要求的過程。直白一點,這就相當于汽車進入市場的“準生證”。汽車要想上市銷售,就必須通過當地(或當地所在聯盟)的型式認證。我們常聽到的“國五”、“國六”、“歐五”“歐六”就是型式認證中關于排放標準的部分。涉及到“法規”,一般少不了政府的介入。所以不同地方市場準入的型式認證要求也不同。而UNECE顧名思義,主要就是針對歐洲,其具體的協議成員國如下圖所示。
既然UNECE針對歐洲等協議成員國,那么對我們有什么影響?主要有以下幾點:
-
01
相信我國也將會把網絡信息安全加入國家型式認證,比如說3C認證(China Compulsory Certification,強制性產品認證制度)。目前歐洲仍然是汽車領域的佼佼者,制定相關法規和準入標準的時候,相信也會適當參考UNECE的內容。
-
02
我國汽車也正在走出去,基本各大COEM,尤其是新能源汽車都有出口歐洲。
-
03
汽車產業鏈的全球化。雖然各地有不同的準入標準,但是上游的一級供應商、芯片供應商都是全球化協同的,實際上這些供應商都會考慮各地標準取一個“最大公約數”,最后反過來影響整車生產商的方案選擇。
那么這個法規什么時候開始生效呢?
UNR155有兩個關鍵的時間節點:
-
012022年7月1日:新車必須滿足。
從現有電子架構推出的新車系(即車輛類型)將需要獲得網絡安全系統型式認證,作為整車型式認證(WVTA,Whole Vehicle Type Approval)過程的一部分。例如對于“換前臉”等小改款,如果電子電器沒有變化,可以不用在這個時間點完成型式認證。但如果涉及車機、輔助駕駛等變化,則相當于是“新車系”,需要滿足UNR155。
-
022024年7月1日:舊車不滿足的也要改成滿足。
尚未停產的車型必須獲得網絡安全系統的型式認證,才可以在相關市場銷售。這意味著,之前車型可能需要通過修改或升級方案,滿足UNR155。
UNR155與ISO21434的關系
為了確保現有標準和監管要求的協調,實際上UNR155和ISO/SAE 21434(道路車輛--網絡安全工程)是并行討論和開發釋放的。那么作為標準的ISO/SAE 21434與UNR155之間的整體關系又是怎樣呢?
首先,要區分標準和法規這兩個術語。
標準通常是在ISO等權威機構的控制下,由行業本身設計的先進的參考性文件。例如ISO/SAE 21434為開發汽車行業的網絡安全產品提供了要求和建議的框架。但它沒有提供任何固定的解決方案建議,只是提供了一個特定的抽象框架和方法論。國際標準(如ISO xxxx)一般都是非強制要求的。但是國內的標準不一樣,GB都是強制要求的,GB/T才是推薦(非強制)執行的。
相比之下,法規是由一個官方機構(如政府)發布的具有法律約束力的指令。就UNR155而言,這是必須遵守的約束性要求,以獲得型式認證,從而獲得市場準入。如果不符合規定,就會在相應的市場禁止銷售。而法規也往往會引用相關標準來作為參考。
實際上,UNR155中引用到了ISO/SAE 21434這一標準。這一點在UNECE公布的官方解釋文件中說得特別清楚,該文件大量地將法規的要求與ISO/SAE 21434的各種要求聯系了起來。換句話說,ISO/SAE 21434可以作為具體方法論,按其指導就很容易滿足UNR155的法規要求。當然如果企業有另外成熟的最佳實踐,同樣可以滿足UNR155也行,所以ISO/SAE 21434并非必要條件。
而在責任相關方的角度來看,ISO/SAE 21434描述的是汽車網絡安全的工程框架和方法論,所以不管在OEM還是各級供應商,都可以按照該標準開發功能和產品,OEM也可以基于ISO/SAE 21434來給供應商提需求。而UNR155法規是針對整車的型式認證,真正要進行公告和型式認證申請的只有OEM。
UNR155內容簡介
如下UNR155的框架示意圖,該法規主要分為主體的內容部分和附錄。內容部分詳述了例如認證主體、標識、證書等法規要求。附錄中則包含了模板、信息文件和威脅及緩解措施列表。對于一般汽車研發工程師而言,其中內容的第7章以及附錄5(即下圖標黃部分)是最值得細讀的。
標黃的兩個章節也集中體現了該法規最核心的兩個要求:
每個OEM必須建立和維護一個網絡安全管理體系(亦即Cybersecurity Management System,CSMS)。這是對于組織本身的要求,不依托于車型和項目。
每個OEM必須識別與車輛技術有關的網絡安全風險。這是對每個車型或者每個項目都有的實施要求,也需要OEM在車型的型式認證時提供證明。
與ISO/SAE 21434不同的是,UN R155沒有明確規定特定的流程(但要求遵守流程和建立工作產品以確保遵守流程),它要求建立和實施一個管理系統,該系統專注于車輛的網絡安全。CSMS是拿到合格證書的基礎,即必須要通過審計和相應的官方認證。CSMS需要定義組織流程、職責和治理過程,同時需要處理車輛受到的網絡威脅風險,保護車輛免受網絡攻擊。它需要覆蓋車輛完整的生命周期。 每款車型做型式認證時,除了必須具有有效的CSMS認證,還應針對該車型進行詳盡的風險評估,并且適當地管理所有確定的風險。UNR155的附件5就提供了一份已知威脅和對應的緩解措施清單。清單附件分為A、B兩部分。做型式認證時,也需要提供相關證據,展現這些通用的威脅和緩解措施都在該車型上做了相關分析和管理。
A部分是威脅的漏洞和攻擊向量。如下圖節選部分是關于云端自身的威脅,其攻擊向量或者漏洞也舉了3個例子,例如內部特權員工濫用職權、非授權的網絡訪問遠程接入了服務器(后門、SQL攻擊等)或者非授權的物理接入服務器(插個U盤或者連上數據線等。)
圖4:UNR155節選的威脅清單
而B部分則針對A中出現的一些威脅和漏洞,提供了緩解措施的參考。如下圖節選,車輛通信通道其中一種威脅來自于攻擊者假冒通訊節點,篡改信息內容,例如攻擊者假冒V2X設備、GNSS等發送欺詐信息。該威脅可以通過驗證通訊節點的真實性和信息完整性來緩解。再具體分解的詳細功能需求(例如通過TLS和CA證書等技術手段)則不在這份列表中體現。
圖5:UNR155節選的緩解措施清單
具體怎么做?
討論完UNR155的法規內容,希望您已經能對它有了框架性的理解。那企業又應該具體怎么做才能獲得型式認證呢?這與上文提到的UNR155兩個關鍵要求有關:
-
01針對CSMS
這本質上是對組織過程能力的要求,說白了就是通過官方批準機構的審計。這個審計或者申請對組織來說是一次性的。當然一般OEM都或多或少有了自己的網絡安全管理流程和系統,只需要根據UNR155作評審,取長補短,完善管理體系。這種專業要求高且一次性的活動很多時候OEM也會通過第三方咨詢公司來幫助自己完善和通過審計,獲得CSMS合格證書。
-
02針對車型
這更多是對每個車型的技術要求。基于CSMS,每款車型的開發都需要針對車型作廣泛的風險評估,針對常見的攻擊向量作適當控制,同時對安全措施的有效性進行充分的測試和驗證。而且這個要求是貫穿車輛生命周期的,即使是已經獲得車型型式認可的,也需要持續管理其風險,持續檢測和報告。否則即使已經獲得型式認可了,也可能會在之后幾年被取消認證和懲罰。
寫在最后
汽車智能網聯化近年來一直是汽車行業的主要議題。這些創新建立在車載系統數字化、汽車IT系統向后端延伸以及軟件傳播的基礎上。而隨著越來越多的關于黑客攻擊汽車登上頭條新聞,人們對汽車網絡信息安全的擔憂也成為了現實。UNR155正是監管機構正在增加壓力,以加強汽車行業應對網絡安全的能力。
雖然我國尚未正式發布公告或者型式認證中關于網絡信息安全的法規要求,但相關機構已經討論多時,草稿多版。預計我國的法規要求在參考UNR155的基礎上亦會提出更加具體的要求或者技術方案指導。而除了框架性法規要求,多個關于智能網聯汽車網絡信息安全的國家標準(例如V2X、智能網關等)都已經發布或者正在發布,估計未來也會完成整個標準體系的發布,呈現“網絡信息安全國標矩陣”。相信這將是一個復雜的新局面,但同時也會吸引更多資金到這個賽道上,企業也會更加重視。這對于我們相關從業人員來說,無疑既是挑戰,也是機會。
R155證書樣本
獲取更多資訊
